了解员工转岗和离职期间的访问控制管理
在访问控制方面,需要及时一致地安排员工转岗和离职,以防止员工在过渡后进行未经授权的访问。 转岗到另一个团队的员工可能只需要一部分他们当前拥有的资格,或者可能根本不需要任何资格。 离职的员工必须在正式终止雇佣关系后及时禁用其访问权限。 Microsoft 具有完善的过程和自动化工作流,可帮助员工及其访问执行一致且准确的转换。
转岗
当员工的经理向 HR 提出请求时,将开始员工转岗过程。 请求将记录在 HR 信息系统 (HRIS) 中,并将提示全局人才获取向员工提供新岗位的录用通知书。 接受该通知书后,HR 将在 HRIS 中完成转岗请求,从而触发 IDM 设置员工有效资格的到期日期。 如果员工在其新岗位中需要任何相同的权限,则他们必须提交每个权限的请求,并获取新经理的批准。 任何未批准的请求将允许其资格过期并被吊销。 如果员工的新岗位包括任何特定的安全隐患,将立即重新评估系统访问权限和安全组成员身份以反应其新角色。
离职
离职需要谨慎处理,特别是在非自愿离职的情况下。 因此,Microsoft 使用明确定义的策略和过程在合适的时间吊销物理和逻辑访问权限,以帮助防止任何潜在的内部人员相关风险。
当员工通知他们将离开 Microsoft 时,其经理会在 HRIS 中输入离职日期。 在员工离职日期的当天结束时,HRIS 会将员工标记为已离职,并自动触发 IDM 以禁用其所有服务团队帐户,并撤销其所有资格和密码箱角色。
非自愿离职的过程与此类似,即员工的经理将在 HRIS 中输入其离职日期,从而提示 IDM 在指定日期删除其访问权限。 此外,如果员工对 Microsoft 或我们的客户造成威胁,可以提出紧急请求以禁用员工帐户,并立即撤销其资格